사이버 보안은 모든 사람의 책임이며 할 일입니다. 하지만 이 간단한 진리는 자신의 주된 업무를 해내느라 바쁜 사람들의 마음속에 좀처럼 자리를 잡지 못하고 있습니다. 사실 매일 마감일에 쫓기고, 퇴근도 늦추고 친구도 못 만날 정도로 바쁜 일상에서 보안까지 챙기라는 말이 와 닿지 않는 건 당연한 일입니다. 보안을 하나의 문화로 정착시킬 수 있을 때까지 이러한 면에서의 충돌은 끊임없이 발생할 것입니다.
그렇다고 보안 문화 정착을 포기할 수는 없습니다. 디지털 기술에 대한 의존도가 갈수록 높아지고 있기 때문입니다. 다행스러운 건 문화 정착이라는 것이 한 번에 되지는 않는다는 것입니다. 그렇기 때문에 이것저것 많은 것들을 시도해볼 수 있습니다. 그 수많은 ‘이것저것’ 중 항시 있어야 할 것들 8가지를 소개해 봅니다.
1. ‘왜 보안이 중요한가’를 설명하라
누구나 지시와 명령에 거부감을 느낍니다. 솔직히 그 동안 많은 보안 관련 내용들이 지시와 명령으로서 하달된 것이 사실입니다. 물론 보안의 맥락에서 지켜야 할 것들은 지켜야 하고, 그것을 전달해야 합니다. 이 때 거부감을 최소화하려면 왜 그걸 지켜야 하는지를 설명할 수 있어야 합니다. 사람들은 이유를 알 때 기억도 더 잘 하고, 더 동기부여를 받습니다. 그러므로 더 나은 결정을 내릴 확률이 높아집니다.
보안 업체 디펜디파이(Defendify)의 공동 창립자인 롭 시모풀로스(Rob Simopoulos)는 “항상 ‘왜’라는 부분을 강조해야 한다”고 강조합니다. “보안에 협조하지 않았을 때 실제 발생한 일이 무엇인지, 그럴 때 조직 차원에서 어떤 일이 일어날 수 있는지 곁들여 설명하면 더 좋습니다.”
2. 매일의 일들을 수행하기 위한 안전한 방법들을 제공하라
서두에 말했듯 사람들이 보안 규칙을 무시하게 되는 가장 큰 이유는 자신들의 할 일이 바빠서입니다. “그러니 일반 사용자들이 스스로의 일을 잘 수행할 수 있되 안전하게 수행할 수 있는 방법들을 제공해 줘야 합니다. 안전해야 하니 불편하게 일하라고 하면 누가 듣겠습니까. 파일을 전송할 때, 뭔가를 검색할 때, 첨부파일을 열어야 할 때, 안전하게 할 수 있는 방법을 알려줘야 합니다.” 보안 업체 NCC그룹(NCC Group)의 수석 고문인 팀 롤린즈(Tim Rawlins)의 설명입니다.
“이미 자기들의 할 일로 머릿속이 꽉 찬 사람들을 상대하고 있다는 걸 잊으면 안 됩니다. 물리적으로 기억할 공간도 없고 심리적인 여력도 없는 상태에요. 그렇게 포화가 된 상태에서 보안과 관련된 정보를 주입한다는 건 말하는 사람에게나 듣는 사람에게나 힘든 일입니다. 늘 숨구멍을 틔워 줘서 그들이 보안을 받아들일 수 있도록 해줘야 합니다.”
3. IT와 보안 사이의 충돌을 최대한 없애라
어떤 조직도 충돌이나 마찰이 자꾸만 일어나는데 건강할 수는 없습니다. 그럼에도 충돌과 마찰을 완벽히 없애는 건 불가능합니다. 어느 조직이나 마찰과 충돌이라는 현상을 가지고 있는 상태에서 사업을 운영하고 보안을 강화합니다. 결국 충돌과 마찰이라는 걸 최소화 하는 것이 최선책이라는 것입니다.
보안 업체 지스케일러(Zscaler)의 부회장인 카비타 마리아판(Kavitha Mariappan)은 “의외로 보안과 IT 간 마찰을 ‘건강한 관계’로 바라보는 시각들이 존재한다”며 “그 둘의 합작품이 건강하고 온전해질 때는 둘이 마찰을 일으킬 때가 아니라 화합했을 때”라고 강조합니다. “그 둘이 따로 따로 움직였을 때 만들어진 것들이 우리가 ‘레거시’라고 부르는 제품들이죠. 보안에 취약한 그 레거시 제품들 말입니다. IT와 보안이이 화합을 하는 데서부터 보안 문화가 정착되기 시작합니다. 마찰은 절대 건강할 수 없어요.”
어쩔 수 없는 경우가 있을 수 있지만, 보안을 ‘위반 시 처벌’과 함께 묶어서 강요하는 건 부정적인 결과로 이어질 때가 많습니다. 약간의 강제력이 필요한 건 사실이지만, 지나칠 경우 직원들은 보안 위반 사항을 숨기는 데 능숙해집니다. 그러면 조직 입장에서 보안과 관련된 사고 가능성을 파악하는 게 더 늦어지고, 사고로 인한 피해가 불필요하게 확대될 수 있습니다.
“보안을 새로운 개념이라든가, 뉴 노멀 식으로 접근하면 안 되고, 이미 우리와 깊은 상관이 있는 것으로 바라보도록 해야 합니다.” 보안 업체 어웨어고(AwareGO)의 공동 창립자인 라그나 시구로손(Ragnar Sigurosson)의 설명입니다. “침해 사고가 발생할 경우 조직 전체는 둘째치고 개인적으로 입을 수 있는 피해들이 무엇인지 알려줘야 합니다. 그런 피해를 입지 않도록 다 같이 애써야 한다는 메시지를 전달하는 게 핵심이죠.”
5. 보안 훈련과 교육은 맞춤형으로 진행하라
학교에서 수업을 하듯 보안 교육과 훈련을 하는 것에도 의미와 성과가 없진 않으나, 그런 방식만 고수해서는 그 효과가 그리 크지 않을 수 있습니다. 그건 학교를 오랜 시간 다녀온 우리가 제일 잘 증명합니다. 수업 시간에 앉아서 설명을 듣는다고 해서 우리의 행동과 사고방식이 드라마틱하게 바뀌던가? 그럴 확률이 0은 아니지만 그리 높지 않은 게 사실입니다. 그러니 조직과 수강생의 특성에 따라 교육 프로그램을 유연하게 가져갈 수 있어야 합니다.
“학교 수업 방식의 훈련은 ‘개인화’가 어렵다는 단점을 가지고 있습니다. 좋은 얘기고 도움이 될 내용이지만 나랑 상관이 없다,와 같은 감상으로 끝나는 게 대부분이죠. 그러니 아무리 사소한 것이더라도 ‘내가 지금부터 실천해 볼만 하다’는 결론을 내릴 수 있도록 해야 합니다. 사람과 조직 구성원들의 행동 특성과 성향을 분석하는 게 반드시 필요합니다. 그리고 수업을 한 번 진행했다면, 그 후 행동이 어떻게 바뀌는지도 분석해야 하고요. 즉 수업 전후에도 해야 할 일이 있다는 뜻입니다.” 보안 업체 엑센추어(Accenture)의 네하 조시(Neha Joshi)의 설명입니다.
6. 사이버 보안을 ‘게임화’하라
사람들이 게임을 좋아하는 이유가 무엇인가? 성취감을 빠르게 느끼고 작은 규모의 경쟁이 계속해서 발생하기 때문입니다. 이 원리를 보안 교육에 접목할 수 있다면 높은 성과를 거둘 수 있습니다. 보안 업체 발빅스(Balbix)의 CEO 고라브 방가(Gaurav Banga)는 “작은 임무들을 주고, 그것에 대한 성과를 기록해서 그에 따른 보상을 해 주는 간단한 프로그램을 도입하면 의외로 보안 문화 정착이 빨라지는 경우들이 있다”고 설명합니다. “이 달의 보안 우수 직원이라든가 이번 사분기 우수 직원 등을 뽑는 것의 효과가 결코 우습지 않아요.”
다만 상품을 좀 그럴듯 하게 걸어 두는 것이 좋다는 게 그의 힌트입니다. “회사 재정에 부담이 안 가는 선에서 정하되, 과자 한 봉지나 5천원짜리 상품권 한 장이면 그 상은 없는 것이나 다름이 없습니다. 반감을 불러일으키지 않으면 다행이죠. 1년 동안 최고의 ‘보안 우수 직원’에게 하와이 여행권을 준다면, 대부분 보안 수칙 잘 지킬 걸요?”
7. 임원진들이 핵심 요원들이다
아무리 보안 문화 만들기에 공을 들여도 임원진이 규정 위에서 군림하면 말짱 도루묵이 됩니다. 기업에 뭔가 ‘문화’라는 걸 정착시키려면 무조건 임원진부터 시작해야 하고, 보안 문화도 예외는 아닙니다. 보안 업체 선가드 어베일러빌리티 서비스(Sungard Availability Services)의 디렉터인 미치 카발스키(Mitch Kavalsky)는 “그래서 ISO 27001과 같은 인증서를 받으려면 관리자급 임원들의 참여가 있어야 하는 것”이라고 설명합니다. “임원진이 참여한다는 건, 모두가 참여한다는 뜻이 됩니다.”
보안 업체 아이언넷(IronNet)의 CISO인 조지 라몬트(George Lamont)도 “관리자 혹은 임원진들부터 보안 문화에 젖어들어야 하지, 반대로 일반 직원들부터 문화를 강요하면 잘 되지도 않고 시간도 오래 걸린다”고 말합니다. “보안 문화를 회사에 정착시키고 싶다면, 임원진 스스로가 바뀌어야 합니다. 그리고 임원진 스스로가 그렇게 변하고 있다는 걸 투명하게 보여주어야 할 필요도 있습니다.”
8. 보안 이야기가 잡담처럼 나오게 하라
훈련을 통해서 업무 방식을 바꾸는 것만으로는 불충분합니다. 적어도 보안은 그렇습니다. 진짜 마음에서부터 우러나온 변화가 있어야 ‘누구나 참여하는 보안’이 진정한 의미를 갖게 됩니다. 보안 업체 CSI의 CISO인 스티브 샌더스(Steve Sanders)는 “사이버 보안 수칙을 지키지 않았을 때 발생하는 사고 소식에 사람들은 둔감해져 있다”고 지적하며 “그런 소식들이 보안 교육을 할 때만이 아니라 일상적인 잡담 시간에도 나올 수 있어야 한다”고 설명합니다.
“보안에 대한 이야기가 계속해서 나와야 합니다. 어쩌다 교육 시간에만 나오는 주제여서는 일반 임직원들에게 보안은 항상 동떨어진 주제일 수밖에 없습니다. 가뜩이나 동떨어진 주제에 대해 교육받고 있는데 다른 회사의 사고 소식만 주구장창 나오면 한 귀로 듣고 한 귀로 흘릴 수밖에 없지요. 차라리 일상적으로 보안 이야기가 계속 나오도록 유도하고, 그걸 교육 시간에는 종합해서 작은 실천으로 이어지도록 하는 게 더 효과적입니다. 보안 이야기가 계속해서 나오는 조직의 구성원이라면 보안 실천에 더 진심을 담을 수밖에 없습니다.”
출처 : 보안뉴스 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 문서중앙화, 클라우독, cloudoc